Curso Introducción a OWASP 2021
El curso le permitirá al participante desarrollar habilidades y destrezas para aplicar de forma teórica/practica las principales vulnerabilidades descritas en el TOP 10 de OWASP para aplicaciones web.
Objetivos del curso
- Instalar múltiples entornos virtuales para pruebas ( Metasploitable, Juicy Shop, Kali Linux, SQLMap, Burpsuite
- Aprender sobre ¿Qué es OWASP Top 10? Y los cambios de 2017 al 2021
- Aprender sobre Burpsuite
- Realizar pruebas de caja negra, blanca y gris
- Conocer sobre TOP 10 Application Security Risks: Riesgos y mitigaciones.
- Aprender sobre perdida de control de acceso
- Aprender sobre fallas criptográficas
- Aprender otras herramientas Owasp
Temario del curso
UNIDAD 1: Instalación del entorno de trabajo
1.1 Instalación de entorno de virtualización.
1.2 Instalación del entorno de virtuales para pruebas:
1.2.1 Metasploitable
1.2.2 Juicy Shop
1.2.3 Kali Linux
1.2.4 SQLMap
1.2.5 Burpsuite
UNIDAD 2: Conceptos fundamentales
2.1 ¿Qué es OWASP Top 10? Y los cambios de 2017 al 2021
2.2 CVSS – CWE – CVE
2.3 ¿Cómo se elije y clasifica el OWASP Top 10?
2.4 Pruebas de caja negra, blanca y gris
2.5 Herramientas DAST vs SAST (ejemplos de herramientas)
2.6 Escalamiento de privilegio
UNIDAD 3: Breve introducción al BurpSuite
3.1 Herramientas.
3.2 Configuración de Firefox.
3.3 Escaneos
3.4 Uso de proxies.
3.5 Uso de repeater.
UNIDAD 4: A01:2021-Pérdida de Control de Acceso
4.1 Descripción.
4.2 Vulnerabilidades.
4.3 Prevención.
4.4 Ejercicios: Explotando vulnerabilidades en Juicy Shop.
UNIDAD 5: A02:2021-Fallas Criptográficas
5.1 Descripción.
5.2 Vulnerabilidades.
5.3 Prevención
5.4 Ejercicios:
5.4.1 Obtener credenciales con WireShark.
5.4.2 Obtener credenciales con Juicy Shop.
UNIDAD 6: A03:2021-Inyección
6.1 Descripción.
6.2 Vulnerabilidades.
6.3 Prevención.
6.4 Ejercicios:
6.4.1 Ejemplo real de obtención de datos con SQLMap.
6.4.2 Ejemplo de inyección SQL, XSS y Command Execution.
UNIDAD 7: A04:2021-Diseño Inseguro
7.1 Descripción.
7.2 Vulnerabilidades.
7.3 Prevención.
7.4 Ejemplos.
7.5 Ejercicios:
7.5.1 Explotación por falta de validaciones en formularios con archivos de subida.
UNIDAD 8: A05:2021 - Configuración de Seguridad Incorrecta
8.1 Descripción.
8.2 Vulnerabilidades.
8.3 Prevención.
8.4 Ejercicios:
8.4.1 Búsqueda y explotación de configuraciones inseguras en servidores web. 8.4.2 Busqueda de vulnerabilidades con google.
UNIDAD 9: A06:2021 - Componentes Vulnerables y Desactualizados
9.1 Descripción.
9.1.1 Vulnerabilidades.
9.1.2 Prevención.
9.2 Ejercicios:
9.2.1 Explotación configuraciones inseguras en sistemas operativos.
UNIDAD 10: A07:2021 - Fallas de Identificación y Autenticación
10.1 Descripción.
10.2 Vulnerabilidades.
10.3 Prevención.
10.4 Ejercicios:
10.4.1 Robo de cookies de sesión.
UNIDAD 11: A08:2021 - Fallas en el Software y en la Integridad de los Datos
11.1 Descripción.
11.2 Vulnerabilidades.
11.3 Prevención.
11.4 Ejemplos.
UNIDAD 12: A09:2021 - Fallas en el Registro y Monitoreo
12.1 Descripción.
12.2 Vulnerabilidades.
12.3 Prevención.
12.4 Ejemplos.
UNIDAD 13: A10:2021 - Falsificación de Solicitudes del Lado del Servidor
13.1 Descripción.
13.2 Vulnerabilidades.
13.3 Prevención.
13.4 Ejercicios:
13.4.1 Pruebas SSRF
Audiencia
Dirigido principalmente a administradores de servidores, lideres de proyecto, desarrolladores web así como:
- Personal interesado en actualizar sus conocimientos e incrementar sus competencias laborales.
- Empresas que buscan capacitar a su personal en la instalación configuración e implementación de servidores Linux.
- Universidades que requieren actualizar su oferta académica.
Requisitos
Se esperan habilidades técnicas básicas por parte del usuario con aplicaciones informáticas en algunos sistemas operativos.
Conocimientos generales en:
- Experiencia en administración de servidores Linux
- Comandos Linux
- Redes Linux
* Campo obligatorio
Vive la experiencia de nuestros cursos
